Privacyreglement

Versie sept 18

Paragraaf 1: Algemene bepalingen 

Tenzij hieronder uitdrukkelijk anders is bepaald, worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming Persoonsgegevens (WBP) daaraan toekent. Hamrah is aangemeld bij het College Bescherming Persoonsgegevens onder het nummer m1595001.

Artikel 1: Begripsbepaling

In dit reglement wordt in aansluiting bij en in aanvulling op de Algemene Verordening Gegevensbescherming (Staatsblad 2018) verstaan onder: 

  • AVG: Algemene verordening gegevensbescherming 
  • het reglement: dit reglement, inclusief de bijlagen; 
  • persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbaar natuurlijk persoon; 
  • verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens; 
  • bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen; 
  • verwerkingsverantwoordelijke: Hamrah, bepaalt het doel en de middelen van de persoonsgegevensverwerking en zal moeten voldoen aan alle vereisten van de privacywetgeving (in de uitvoering: de medewerkers van Hamrah); 
  • verwerker: de verwerker is degene die persoonsgegevens verwerkt ten behoeve van een verwerkingsverantwoordelijke. Een verwerker heeft geen eigen doel voor de verwerking van de persoonsgegevens buiten het uitvoeren van de dienstverlening voor de verwerkingsverantwoordelijke; 
  • medewerker: personen in dienst van of werkzaam ten behoeve van de verwerkingsverantwoordelijke en degene die onder verantwoordelijkheid van de verwerkingsverantwoordelijke is belast met de dagelijkse zorg voor de verwerking van persoonsgegevens, voor de juistheid van de ingevoerde gegevens, alsmede voor het bewaren, verwijderen en verstrekken van gegevens; 
  • betrokkene: degene op wie een persoonsgegeven betrekking heeft; 
  • FG: functionaris voor de gegevensbescherming, de FG ziet er op toe dat de verwerkingsverantwoordelijke de AVG naleeft; 
  • Gezamenlijke verwerkingsverantwoordelijke: Partij welke naast Hamrah gezamenlijk het doel en de middelen van de persoonsgegeven verwerking bepaalt en op basis daarvan bevoegd is persoonsgegevens in te voeren, te wijzigen en/of te verwijderen, dan wel van enigerlei uitvoer van de verwerking kennis te nemen (w.o. docenten); 

Artikel 2: Reikwijdte 

Dit reglement is van toepassing op alle geheel of gedeeltelijk geautomatiseerde verwerkingen van persoonsgegevens van personen in dienst van of werkzaam ten behoeve van Hamrah en klanten (natuurlijke personen) van Hamrah, alsmede op de daaraan ten grondslag liggende documenten die in een bestand zijn opgenomen. Dit reglement is voorts van toepassing op de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. 

Paragraaf 2: Doelbinding 

Artikel 3: Doelstellingen van de verwerking 

Per afzonderlijke verwerking of samenhangende verwerkingen zijn in de bijlagen de doelen dan wel de samenhangende doelen geformuleerd. 

Artikel 4: Rechtmatige grondslag van de verwerking 

De rechtmatige grondslag voor de verwerkingen is gelegen in 

  1. de uitvoering van de arbeidsovereenkomst waarbij de betrokkene partij is, 
  2. het gerechtvaardigde belang van de verwerkingsverantwoordelijke, 
  3. een wettelijke verplichting van de verwerkingsverantwoordelijke, 
  4. een vitaal belang van de betrokkene, dan wel – uitsluitend indien a), b), c) of d) niet van toepassing is – 
  5. de ondubbelzinnige toestemming die de betrokkene heeft verleend. 

Artikel 5: Categorieën van personen van wie persoonsgegevens worden verwerkt 

Per afzonderlijke verwerking of samenhangende verwerkingen is in de bijlagen aangegeven van welke categorieën van personen persoonsgegevens worden verwerkt. 

Artikel 6: Soorten van opgenomen persoonsgegevens en de wijze van verkrijging 

  1. Per afzonderlijke verwerking of samenhangende verwerkingen is in de bijlagen aangegeven welke soorten van persoonsgegevens ten hoogste worden verwerkt en op welke wijze deze gegevens worden verkregen. 
  2. Persoonsgegevens worden zoveel mogelijk verzameld bij de betrokkene zelf. 
  3. Persoonsgegevens worden niet verzameld bij derden zonder de ondubbelzinnige toestemming van de betrokkene. 
  4. Persoonsgegevens worden in overeenstemming met de AVG en op behoorlijke en zorgvuldige wijze verwerkt. 
  5. Persoonsgegevens worden slechts verwerkt voor zover zij, gelet op de in de bijlagen genoemde doeleinden, toereikend, ter zake dienend en niet bovenmatig zijn. 
  6. Bijzondere persoonsgegevens worden verwerkt met inachtneming van het bepaalde in de artikelen 5 t/m 9 van de AVG. 
  7. De verwerkingsverantwoordelijke treft de nodige voorzieningen ter bevordering van de juistheid en volledigheid van de persoonsgegevens. 

Artikel 7: Verwijdering van opgenomen persoonsgegevens 

  1. Persoonsgegevens die niet langer voor het doel noodzakelijk zijn worden zo spoedig mogelijk verwijderd. 
  2. Na beëindiging van de cursusovereenkomst, ook wel cursuscontract, met verwerkingsverantwoordelijke, het dienstverband of het verrichten van werkzaamheden ten behoeve van de verwerkingsverantwoordelijke worden de persoonsgegevens nog maximaal twee jaar bewaard. 
  3. Tenzij in het geval van uitdrukkelijk verkregen toestemming, deze wordt ingetrokken; gegevens worden binnen 4 weken na dagtekening van het schriftelijke verzoek vernietigd. 
  4. Of tenzij deze persoonsgegevens in verband met wettelijke verplichtingen langer bewaard moeten blijven; Persoonsgegevens blijven bewaard zolang dat wettelijk verplicht is. 
  5. Verwijdering impliceert vernietiging of een zodanige bewerking dat het niet meer mogelijk is de persoon te identificeren. 

Paragraaf 3: Rechtstreekse toegang tot en verstrekking van persoonsgegevens 

Artikel 8: Rechtstreekse toegang tot persoonsgegevens 

  1. Uitsluitend de verwerkingsverantwoordelijke en de door de verwerkingsverantwoordelijke aangewezen medewerkers, verwerkers en gezamenlijke verwerkingsverantwoordelijke hebben, met het oog op de dagelijkse zorg voor het goed functioneren van de verwerking, rechtstreekse toegang tot persoonsgegevens. 
  2. De personen, bedoeld in het eerste lid, voor wie niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht geldt, zijn verplicht tot geheimhouding van de persoonsgegevens, waarvan zij kennis nemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit. 

Artikel 9: Technische werkzaamheden 

Medewerkers of verwerkers die belast zijn met de uitvoering van technische werkzaamheden zijn gehouden tot geheimhouding van alle persoonsgegevens waarvan zij kennis hebben kunnen nemen. 

Artikel 10: Verstrekking van persoonsgegevens 

  1. Per afzonderlijke verwerking of samenhangende verwerkingen is in de bijlagen aangegeven aan welke personen binnen en buiten de organisatie welke persoonsgegevens kunnen worden verstrekt, gelet op het doel en de grondslag van de verwerking.
  2. De verwerkingsverantwoordelijke informeert verwerkers en gezamenlijke verwerkingsverantwoordelijken, die op vastgestelde wijze bepaalde persoonsgegevens verwerken, over de daaraan gestelde voorwaarden en beperkingen. De verwerkingsverantwoordelijke is aansprakelijk voor schade die de betrokkene lijdt door onrechtmatig gebruik door verwerker, van door de verwerkingsverantwoordelijke rechtmatig aan die derden verstrekte persoonsgegevens, tenzij de schade niet aan de verwerkingsverantwoordelijke kan worden toegerekend. 
  3. Over de verantwoordelijkheid tussen gezamenlijke verwerkingsverantwoordelijken in bovenstaand lid 2 zijn onderling contractuele afspraken gemaakt welke ter inzage liggen bij de verwerkingsverantwoordelijke of diens FG. 

Artikel 11: Doorgifte van persoonsgegevens naar landen buiten de Europese Unie 

De verwerkingsverantwoordelijke geeft geen persoonsgegevens door naar een bedrijf of vestiging in een land buiten de Europese Unie, dat geen passend beschermingsniveau heeft, tenzij voldaan is aan tenminste één van de volgende voorwaarden: 

  1. met dat bedrijf of die vestiging is een contract gesloten overeenkomstig de door de Autoriteit Persoonsgegevens vastgestelde model contract bepalingen, welk contract voor wat betreft de verwerking van persoonsgegevens de instemming heeft van de personeelsvertegenwoordiging; 
  2. de doorgifte noodzakelijk is in het kader van de overeenkomst tussen de verwerkingsverantwoordelijke en de betrokkene; 
  3. de betrokkene heeft een verklaring ondertekend, waarin hij de verwerkingsverantwoordelijke toestemming geeft voor de doorgifte. Die verklaring is in eenvoudige, begrijpelijke taal opgesteld, met specifieke informatie over het betrokken bedrijf of de betrokken vestiging, de door te geven persoonsgegevens, het doel van de doorgifte en de duur van de periode, waarin die verklaring wordt gebruikt. 

Artikel 12: Verdere verwerking van persoonsgegevens 

  1. De te verwerken persoonsgegevens worden slechts verder verwerkt op een wijze die verenigbaar is met het doel waarvoor ze zijn verkregen. Daarbij wordt tenminste rekening gehouden met de verwantschap van de doelen, de aard van de gegevens, de gevolgen van de verdere verwerking voor de betrokkene, de wijze waarop de gegevens zijn verkregen en de waarborgen ter bescherming van de persoonlijke levenssfeer. 
  2. Persoonsgegevens mogen verder worden verwerkt wanneer dat noodzakelijk is om een wettelijke verplichting na te komen waaraan de verwerkingsverantwoordelijke onderworpen is of geschiedt met de ondubbelzinnige toestemming van de betrokkene. 

Paragraaf 4: Plichten van verantwoordelijke, beheerder en bewerker 

Artikel 13: Beveiliging 

  1. De verwerkingsverantwoordelijke, in de persoon van de FG, stelt in een beveiligingsplan richtlijnen op voor de technische en organisatorische beveiliging van de verwerking van persoonsgegevens en legt dit plan ter instemming voor aan de personeelsvertegenwoordiging. 
  2. De FG doet het vastgestelde beveiligingsplan toekomen aan de betrokken medewerkers en verwerkers. De betrokken medewerkers en verwerkers verwerken persoonsgegevens overeenkomstig de richtlijnen van dit plan. 
  3. Indien gebruik wordt gemaakt van de diensten van een verwerker of bij gezamenlijke verwerkingsverantwoordelijkheid, legt de verantwoordelijke de wederzijdse verplichtingen met betrekking tot de omgang met persoonsgegevens schriftelijk in een overeenkomst met die verwerker vast. De verwerker en/ of verwerkingsverantwoordelijke verwerkt persoonsgegevens overeenkomstig diens overeengekomen verplichtingen. 

Artikel 14: Informatieplicht 

  1. Indien de verwerkingsverantwoordelijke persoonsgegevens verkrijgt bij de betrokkene zelf, meldt hij de betrokkene vóór het moment van verkrijging van deze persoonsgegevens het doel van de verwerking waarvoor de gegevens zijn bestemd, tenzij de betrokkene hiervan reeds op de hoogte is. 
  2. Indien de verwerkingsverantwoordelijke persoonsgegevens verkrijgt van een derde of door observatie van de betrokkene, deelt de verwerkingsverantwoordelijke de betrokkene op het moment van vastlegging het doel van de verwerking waarvoor de gegevens zijn bestemd mede.
  3. De verwerkingsverantwoordelijke verstrekt, in de vorm van de FG, periodiek aan het personeel en aan de personeelsvertegenwoordiging een overzicht van de doelen waarvoor en de manieren waarop persoonsgegevens van personen in dienst van of werkzaam ten behoeve van Hamrah en klanten (natuurlijke personen) van Hamrah worden verwerkt, over de regels die daarvoor gelden, over de rechten die betrokkenen ten aanzien daarvan hebben en hoe zij die kunnen uitoefenen. 

Paragraaf 5: Rechten van de betrokkene 

Artikel 15: Algemeen 

  1. Iedere betrokkene heeft recht op informatie, inzage en correctie (verbetering, aanvulling, verwijdering en/of afscherming) alsmede recht van verzet, zoals geformuleerd in de volgende artikelen van deze paragraaf. 
  2. Het uitoefenen van die rechten kan tijdens kantooruren geschieden. 
  3. Aan het uitoefenen van die rechten zijn voor de betrokkene geen kosten verbonden. 
  4. Betrokkenen kunnen zich bij het uitoefenen van die rechten laten bijstaan. 
  5. De verwerkingsverantwoordelijke wijst betrokkenen op de mogelijkheden van rechtsbescherming en toezicht en op de rol daarin van de Autoriteit Persoonsgegevens. 

Artikel 16: Recht op informatie 

De verwerkingsverantwoordelijke informeert betrokkene op diens verzoek tijdig en volledig over de doelen waarvoor en de manieren waarop persoonsgegevens van hem worden verwerkt, over de regels die daarvoor gelden, over de rechten die betrokkene ten aanzien daarvan heeft en hoe hij die kan uitoefenen. Daarbij wordt betrokkene ook geïnformeerd over de plaats waar de documenten, waarin bedoelde regels zijn opgenomen, kunnen worden ingezien dan wel opgevraagd. 

Artikel 17: Recht op inzage 

  1. De verwerkingsverantwoordelijke deelt een ieder op diens verzoek, zo spoedig mogelijk, maar uiterlijk binnen vier weken na ontvangst van het verzoek, schriftelijk mee of hem betreffende persoonsgegevens worden verwerkt. 
  2. Indien dat het geval is, verstrekt de verwerkingsverantwoordelijke de verzoeker desgewenst, zo spoedig mogelijk, maar uiterlijk binnen vier weken na ontvangst van het verzoek, schriftelijk een volledig overzicht daarvan met informatie over het doel of de doelen van de gegevensverwerking, de gegevens of categorieën van gegevens waarop de verwerking betrekking heeft, de ontvangers of categorieën van ontvangers van de gegevens alsmede de herkomst van de gegevens. Indien de verzoeker dat wenst, verstrekt de verwerkingsverantwoordelijke tevens informatie over de systematiek van de geautomatiseerde gegevensverwerking. 
  3. De verzoeker heeft recht op een kopie van de gegevens die over hem zijn vastgelegd. Hij hoeft hiervoor niet te betalen. 
  4. Indien een gewichtig belang van de verzoeker dit eist, voldoet de beheerder aan het verzoek in een andere dan schriftelijke vorm, die aan dat belang is aangepast. 
  5. De beheerder draagt zorg voor een deugdelijke vaststelling van de identiteit van de verzoeker
  6. De beheerder kan weigeren aan een verzoek te voldoen, indien en voor zover dit noodzakelijk is in verband met: a. de opsporing en vervolging van strafbare feiten; b. gewichtige belangen van anderen dan de verzoeker, de verwerkingsverantwoordelijke daaronder begrepen.  

Artikel 18: Recht op correctie: verbetering, aanvulling, verwijdering en/of afscherming 

  1. Op schriftelijk verzoek van een betrokkene gaat de verwerkingsverantwoordelijke over tot verbetering, aanvulling, verwijdering en/of afscherming van de met betrekking tot de verzoeker verwerkte persoonsgegevens, indien en voor zover deze gegevens feitelijk onjuist, voor het doel van de verwerking onvolledig, niet ter zake dienend of bovenmatig zijn, dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Het verzoek behelst de aan te brengen wijzigingen. 
  2. De verwerkingsverantwoordelijke deelt de verzoeker zo spoedig mogelijk, maar uiterlijk binnen vier weken na ontvangst van het verzoek, schriftelijk mee of hij daaraan voldoet. Indien hij daaraan niet of niet geheel wil voldoen, omkleedt hij dat met redenen. 
  3. De verwerkingsverantwoordelijke draagt er zorg voor dat een beslissing tot verbetering, aanvulling, verwijdering en/of afscherming zo spoedig mogelijk wordt uitgevoerd. 
  4. De beheerder informeert in geval van verbetering, aanvulling, verwijdering en/of afscherming verwerkers en gezamenlijke verwerkingsverantwoordelijke daarover en verzekert zich ervan dat die verwerkers en gezamenlijke verwerkingsverantwoordelijke hun bestanden dienovereenkomstig aanpassen. De verwerkingsverantwoordelijke deelt de verzoeker mee aan welke derden hij die informatie heeft verstrekt. 

Artikel 19: Recht van verzet 

  1. 1. Indien de rechtmatige grondslag voor een bepaalde verwerking is gelegen in het gerechtvaardigde belang van de verwerkingsverantwoordelijke, kan de betrokkene bij de verwerkingsverantwoordelijke te allen tijde bezwaar aantekenen tegen die verwerking in verband met zijn bijzondere persoonlijke omstandigheden. 
  2. 2. Binnen vier weken na ontvangst van het bezwaar beoordeelt de verwerkingsverantwoordelijke of dit verzet gerechtvaardigd is. 
  3. 3. De verwerkingsverantwoordelijke beëindigt de verwerking terstond, indien de verantwoordelijke het verzet gerechtvaardigd acht. Verzet tegen de verwerking voor commerciële of charitatieve doelen is altijd gerechtvaardigd. 

Paragraaf 6: Rechtsbescherming en toezicht 

Artikel 20: Klachtenprocedure 

  1. Elke betrokkene heeft het recht bij de verwerkingsverantwoordelijke een klacht in te dienen a. tegen een beslissing op een verzoek als bedoeld in de artikelen 17, 18 en 19; b. tegen een beslissing naar aanleiding van de aantekening van verzet als bedoeld in artikel 20; alsmede c. tegen de wijze waarop de verwerkingsverantwoordelijke, de gezamenlijke verwerkingsverantwoordelijke of de verwerker de in dit reglement opgenomen regels uitvoert. 
  2. De verwerkingsverantwoordelijke reageert zo spoedig mogelijk, maar uiterlijk binnen zes weken na ontvangst, schriftelijk en met redenen omkleed op de klacht. 
  3. Betrokkene kan zich bij de indiening en behandeling van zijn klacht laten bijstaan. 
  4. De verwerkingsverantwoordelijke kan het advies van de Autoriteit persoonsgegevens inwinnen. 
  5. De verwerkingsverantwoordelijke kan tot het oordeel komen dat de klacht onterecht is dan wel geheel of gedeeltelijk terecht. 
  6. Indien de verwerkingsverantwoordelijke de klacht niet of slechts gedeeltelijk honoreert, kan de betrokkene een klacht indienen bij de Autoriteit Persoonsgegevens. De verwerkingsverantwoordelijke informeert de betrokkene, wiens klacht hij niet of slechts gedeeltelijk honoreert, over die mogelijkheid en over de contactgegevens van de Autoriteit Persoonsgegevens. 
  7. Indien de verwerkingsverantwoordelijke oordeelt dat de klacht geheel of gedeeltelijk terecht is, beslist hij om 
  1. (indien de klacht zich richt tegen een beslissing als bedoeld in lid 1 onder het verzoek van betrokkene alsnog geheel of gedeeltelijk te honoreren; 
  2. (indien de klacht zich richt tegen een beslissing als bedoeld in lid 1 onder het verzet van betrokkene alsnog te honoreren; 
  3. (indien de klacht zich richt tegen de wijze van uitvoering als bedoeld in lid 1 onder c. alsnog uitvoering te geven aan de in het reglement opgenomen regels, hetgeen kan inhouden een handelen of een nalaten, waaronder begrepen een herstellen of een stoppen; 
  4. de schade die betrokkene heeft geleden, waaronder eventuele immateriële schade, te vergoeden. 
  1. De verwerkingsverantwoordelijke maakt zijn oordeel schriftelijk aan betrokkene kenbaar. 
  2. Indien de verwerkingsverantwoordelijke niet binnen zes weken na het indienen van de klacht reageert, kan betrokkene een klacht indienen bij de Autoriteit Persoonsgegevens. 

Artikel 21: Toezicht op de naleving 

De Autoriteit Persoonsgegevens is op grond van de wet bevoegd toe te zien op de naleving van de in dit reglement krachtens de verordening opgenomen bepalingen. 

Paragraaf 7: Overige bepalingen 

Artikel 22: Scholing 

De verwerkingsverantwoordelijke draagt zorg voor een regelmatige scholing van de medewerkers om te verzekeren dat ze de processen van persoonsgegevensverwerking, de daarvoor geldende regels en hun eigen rol daarin begrijpen.

Artikel 23: Onvoorzien

In gevallen waarin het reglement niet voorziet beslist de verwerkingsverantwoordelijke, zo mogelijk na instemming van de personeelsvertegenwoordiging. In spoedeisende gevallen informeert de verwerkingsverantwoordelijke de personeelsvertegenwoordiging achteraf. 

Artikel 24: Publicatie 

Dit reglement wordt voor een ieder ter inzage gelegd bij de afdeling die het beheer voert over de verwerking. 

Artikel 25: Wijzigingen en aanvullingen 

  1. 1. Wijzigingen in doel van de verwerking en in soort van inhoud, gebruik en wijze van verkrijging van de persoonsgegevens dienen te leiden tot wijziging van dit reglement. 
  2. 2. De introductie van een nieuw personeels-/klantvolgsysteem alsmede frequent voorkomende onvoorziene gevallen dienen te leiden tot aanvulling van dit reglement. 
  3. 3. Wijzigingen en aanvullingen van het reglement behoeven de instemming van de personeelsvertegenwoordiging. 

Artikel 26: Inwerkingtreding en citeertitel 

Dit reglement versie 1.0 trad in werking op 17 maart 2015. 

Dit reglement kan worden aangehaald als Privacyreglement Hamrah juni 17. 

Dit reglement is aangepast op 29 sept 2018, versie 1.0